k
если у тебя не закрыт форвард. почитай про цепочки правил, что какая делает, и зачем они нужны
Size: a a a
2020 December 03
А
нет. можно прописать твою сеть за твоим роутером в талицу маршрутизации и ходить как с себе домой
forward это же все подключения которые ПРОХОДЯТ через роутер, но инициализируются чем то дальше.
FF
Артур
forward это же все подключения которые ПРОХОДЯТ через роутер, но инициализируются чем то дальше.
Это когда пакет пришёл в один интерфейс и должен уйти в другой.
FF
Артур
Для этого должен быть проброшен статичный порт как минимум.
Нет.
k
Артур
forward это же все подключения которые ПРОХОДЯТ через роутер, но инициализируются чем то дальше.
еще такие подключения транзитными называют. смотри живой пример. у тебя айпишник 5.5.5.5 локалка 172.16.0.0/24. я говорю своей операциоке, что мы ходим в сеть 172.16.0.0/24 через 5.5.5.5. и если у тебя не закрыт форвард извне, я действительно смогу это сделать, и гулять по твоей сети. что там у тебя еще, впн? доверенный говоришь? ну значит и на впн сервер прогуляюсь
А
еще такие подключения транзитными называют. смотри живой пример. у тебя айпишник 5.5.5.5 локалка 172.16.0.0/24. я говорю своей операциоке, что мы ходим в сеть 172.16.0.0/24 через 5.5.5.5. и если у тебя не закрыт форвард извне, я действительно смогу это сделать, и гулять по твоей сети. что там у тебя еще, впн? доверенный говоришь? ну значит и на впн сервер прогуляюсь
Нужно знать как устроена маршрутизация в локалке же?
FF
Артур
Нужно знать как устроена маршрутизация в локалке же?
Это не так уж и сложно сделать.
А
Это не так уж и сложно сделать.
Форвард так же нужно дропать по типу?
/ip firewall filter
add action=drop chain=forward in-interface-list=WAN protocol=tcp
/ip firewall filter
add action=drop chain=forward in-interface-list=WAN protocol=tcp
FF
Артур
Форвард так же нужно дропать по типу?
/ip firewall filter
add action=drop chain=forward in-interface-list=WAN protocol=tcp
/ip firewall filter
add action=drop chain=forward in-interface-list=WAN protocol=tcp
У меня дропается вообще всё, что не разрешено.
AL
Извиняюсь за офтоп, но может кто знает. Какие есть ip камеры, на которые долго выходят патчи безопасности?
FF
Извиняюсь за офтоп, но может кто знает. Какие есть ip камеры, на которые долго выходят патчи безопасности?
>iptv
А такие есть в природе?
А такие есть в природе?
AL
>iptv
А такие есть в природе?
А такие есть в природе?
Автозамена) не посмотрел, что написал)
А
У меня дропается вообще всё, что не разрешено.
Ну т.е. правило что я указал в самый низ это верно для защиты?
FF
Автозамена) не посмотрел, что написал)
Мы такие используем http://infinity-cctv.ru/ Но у нас и не доступны они извне.
FF
Артур
Ну т.е. правило что я указал в самый низ это верно для защиты?
Само по себе правило верное.
FF
Не понятно, почему именно tcp.
А
Не понятно, почему именно tcp.
Забыл когда копировал, по сути протокол не указываю, дропаю всё)
А
Вот ещё бы задачу с дропом инпюта решить, т.к. он как то не нормально себя ведёт.
FF
Артур
Вот ещё бы задачу с дропом инпюта решить, т.к. он как то не нормально себя ведёт.
Так ты разреши установленные соединения.
А
Так ты разреши установленные соединения.
В логе по ~10 записей в секунду с этим:
DROP input: in:LAN_1 out:(unknown 0), src-mac MAC, proto UDP, IP_ПК:55658->10.0.0.255:20561, len 50
DROP input: in:LAN_1 out:(unknown 0), src-mac MAC, proto UDP, IP_ПК:55658->10.0.0.255:20561, len 50